前段时间,跟一个朋友聊天中,被提到想看写一些实战的文章,学习挖掘的思路,而不是写一些bypass思路的tips。
不过因为学东西+毕业设计,也一直没空写相关的文章,最近刚把毕设整的差不多了,还差2个漏洞没修,也暂时不想写论文。
想歇会,就给大家水一篇之前挖洞的实战文章,大佬们就勿喷了,重点思路吧。
案例的话,因为很久没碰过edu了,所以就拿去年整的某体育学院的为例咯。
某体育学院,必须累计10分才能兑换到他学校的漏洞,而之前因为挖掘过他家系统累计已经积累到了8分,所以当时就想着摸摸鱼挖下他们学校系统。
有很多图无了,写文章的时候现截图补的。
第一步:正常的资产收集,子域名收集,c段收集。
找到官网,主域名
然后扔到自己写好的脚本里面,去进行批量获取子域名,这里点一下,直接集成多个子域名收集工具,然后一个python函数调用,自动化收集全子域名即可。
第二步:对收集到的子域名批量截图,做个页面测绘,快速找目标。
(因为这里的目标很明确就是找个该学校好挖的漏洞即可,所以个人喜欢从被动信息收集这种角度去做,而不是特别倾向于主动信息收集如扫目录,爬接口,爆端口等,速度太慢,而且容易被ban,麻烦,当然打hw和挖通用的话肯定得做主动信息收集这些事情,这里点到为止,这里个人的批量收集思路就先不写了)
没相关的图了,补一张,差不多就是这样子的,批量跑子域名截图,然后看相关图片确定和思考哪个站比较好打,就打哪个。
在截图里面看到一个就业信息网,而且具备注册功能,觉得这个挖起来应该不会很难,因为可以直接具备低权限相关用户,就懒得去测外面的一些问题了,进而直接转为测试内部系统问题。
一句话,有权限的尽量优先测试有权限的咯。
正常进行注册账户,获取到一个低权限用户
进行登录 登录后差不多这个样子。
看到这里,很多熟悉的师傅们看到这个编辑器估计就能立马脑补到会有什么漏洞了。
经典编辑器kindeditor存储xss漏洞
正常上传图片,然后改image为file上传html,一个存储xss有了
虽然说存储xss,水分水够两分肯定是有了,但是既然都注册了账户,那肯定不会只局限于只挖到这里。
对用户具备的功能,正常的点点,然后当时是结合的HAE插件,联动获取LinkFinder。
然后收集到一个txt文件中,批量爆破测试是否具备垂直越权问题。
现在的话利用自己写的一个插件
快速提取每一个链接里面的url
然后爆破获取越权即可
事实证明和想像中的差不多,鉴权可以说是没做,一堆越权的。
危害最大的就是管理账户列表查看和查看学生身份证信息的。这里以管理员账户列表查看为例。
这里根据以往挖洞的经验,回显包里面可能会具备其他的敏感信息字段。
肯定不止页面中显示的这几个字段,抓包,查看返回包,具备MD5的密码。
SOMD5进行解密
然后登录该账户即可完全接管
其实打到了这里这套还有办法getshell,但是刷分,点到为止,接管了最高管理员权限足以。
最后证书,肯定是有的,漏洞呢也是修了,被该学校放在了内网里面去了。
而且这个系统还是个通用(熟悉的大佬们一看就能了解这套是哪个厂商的了),资产也大于5000w,按道理应该是可以去刷cnvd的,但是因为懒得一个一个学校去注册,也就没去搞和刷。
写到这里呢,虽然说文章已经结束了,整篇文章和挖洞过程也非常的丝滑,全程很快就快速挖掘完了,但是我们做几个思考。
收集到的子域名是否是真的全了?
按照四个工具获取到的子域名虽然大部分不会漏,但是从这些工具收集的原理来看,一般都是基于爆破,其他空间测绘资产api提取返回,又或者crt证书,但是很多时候,有些子域名就是测试域名。
开发的把子域名的前缀写的很复杂,常见的资产测绘就是没收集到,如果只是按照这几个接口去做,肯定是会漏的。
在挖掘的时候,尤其是企业src和攻防演练的时候,除了上面的测绘思路以外,在burp访问的网站中做子域名收集。感兴趣的可以了解下这个
这个挖掘案例虽然是很丝滑,本质就是我们运气好的从这个js文件中找到了这个接口,但是对于有些系统的目录结构和接口如果很复杂,我们又如何能够猜解到相关的目录接口和js呢?
burp的插件Datacollector快速提取参数,收集相关的目录结构和参数,进而快速了解整个网站的目录架构和参数构造特点,结合其他的社工生成工具,进行伪造接口,进行爆破fuzz。
个人以前利用过该工具收集的了解到一个网站的结构,然后进而拼接fuzz api黑盒挖到了一个新的0day,下次有机会在给大家分享。
最后,自信从容,虚心进步,慢慢成长。